O botnet mais destrutivo do mundo retorna com senhas roubadas e e-mail a reboque

Percebendo um aumento no spam de pessoas que você conhece? Você provavelmente pode culpar Emotet.

O botnet mais destrutivo do mundo retorna com senhas roubadas e e-mail a reboque

-

Se você notou um aumento no spam que o aborda pelo nome ou cita e-mails reais que você enviou ou recebeu no passado, provavelmente pode culpar o Emotet. É uma das botnets mais caras e destrutivas do mundo - e acabou de retornar de um hiato de quatro meses.

O Emotet começou como um meio de espalhar um trojan de fraude bancária, mas, ao longo dos anos, se transformou em uma plataforma de contratação que também espalha o cada vez mais poderoso trojan TrojBot e o Ryuk ransomware , os quais penetram profundamente nas redes infectadas para maximizar o danos que eles causam. Um post publicado na terça-feira por pesquisadores da equipe de segurança Talos da Cisco ajuda a explicar como o Emotet continua ameaçando muitos de seus alvos.

Fácil de se apaixonar

O spam enviado por Emotet geralmente parece vir de uma pessoa com a qual o alvo já correspondeu no passado e cita os corpos dos threads de email anteriores em que os dois participaram. O Emotet obtém essas informações invadindo as listas de contatos e as caixas de entrada dos computadores infectados. A botnet envia um email de acompanhamento para um ou mais dos mesmos participantes e cita o corpo do email anterior. Em seguida, ele adiciona um anexo malicioso. O resultado: mensagens maliciosas difíceis de serem detectadas por humanos e filtros de spam.

Talos

"É fácil ver como alguém que espera um email como parte de uma conversa em andamento pode cair em algo assim, e é parte do motivo pelo qual o Emotet foi tão eficaz em se espalhar por email", escreveram os pesquisadores do Talos no post. "Ao assumir as conversas por email existentes e incluir cabeçalhos de assuntos reais e conteúdos de email, as mensagens se tornam muito mais aleatórias e mais difíceis para os sistemas anti-spam filtrarem".

Usando a mensagem de spam do Emotet mostrada acima, que incorpora uma conversa anterior entre dois assessores ao prefeito de uma cidade dos EUA, eis como o ardil funciona, de acordo com Talos:

  1. Inicialmente, Lisa enviou um e-mail a Erin sobre a colocação de anúncios para promover uma cerimônia em que o prefeito estaria presente.
  2. Erin respondeu a Lisa perguntando sobre alguns detalhes específicos do pedido.
  3. Lisa foi infectada com Emotet. Emotet roubou o conteúdo da caixa de entrada de Lisa, incluindo esta mensagem de Erin.
  4. Emotet escreveu uma mensagem de ataque em resposta a Erin, posando como Lisa. Um documento do Word infectado está anexado na parte inferior.

O uso de emails enviados anteriormente não é novo, pois o Emotet fez a mesma coisa antes de ficar em silêncio no início de junho. Mas com seu retorno nesta semana, a botnet está contando com o truque muito mais. Cerca de 25% das mensagens de spam enviadas pelo Emotet esta semana incluem emails enviados anteriormente, em comparação com cerca de 8% das mensagens de spam enviadas em abril.

203k senhas de email roubadas

Para facilitar o envio do spam, o Emotet também rouba os nomes de usuário e senhas dos servidores de email de saída. Essas senhas são transferidas para máquinas infectadas que os servidores de controle da Emotet designaram como emissores de spam. Os pesquisadores do Talos encontraram quase 203.000 pares únicos que foram coletados ao longo de um período de 10 meses.

"No total, a vida útil média de um único conjunto de credenciais de email de saída roubadas foi de 6,91 dias", relatou a publicação do Talos. "No entanto, quando analisamos mais de perto a distribuição, 75% das credenciais roubadas e usadas pela Emotet duraram menos de um dia. Noventa e dois por cento das credenciais roubadas pela Emotet desapareceram em uma semana. Os 8% restantes do email de saída da Emotet infraestrutura teve uma vida útil muito mais longa ".

Um post separado de Malwarebytes disse que Emotet trouxe de volta outra tática que introduziu pela primeira vez em abril - referindo-se a alvos por nome nas linhas de assunto.

Malwarebytes

Depois de abertos, os documentos anexados aos e-mails afirmam que, a partir de 20 de setembro de 2019, os usuários só poderão ler o conteúdo depois de terem concordado com um contrato de licenciamento para o Microsoft Word. E para fazer isso, de acordo com uma publicação da empresa de segurança Cofense , os usuários devem clicar no botão Ativar Conteúdo que ativa as macros no Word.

Cofense

"Depois que as macros do Office são ativadas, os executáveis ​​do Emotet são baixados de um dos cinco locais diferentes de carga útil", escreveram os pesquisadores da Cofense Alan Rainer e Max Gannon. "Quando executados, esses executáveis ​​iniciam um serviço, mostrado [abaixo], que procura outros computadores na rede. O Emotet baixa um binário atualizado e busca o TrickBot se um critério (atualmente indeterminado) de localização geográfica e organização for atendido. "

Cofense

Uma das maneiras pelas quais o Emotet se espalha para outros dispositivos na mesma rede é explorando senhas fáceis de adivinhar.

Com seu enorme conjunto de e-mails roubados e senhas de servidores de e-mail, malware de nível profissional e elegantes truques de engenharia social, a Emotet passou a ser considerada como uma das botnets mais ameaçadoras do mundo, pelo menos para as pessoas que usam o Windows. As pessoas devem combater a ameaça considerando o uso do Windows Defender, Malwarebytes ou outro programa antivírus respeitável. Outra medida: suspeitar de todos os anexos ou links recebidos por email, mesmo que pareça vir de alguém que você conhece. As pessoas também devem usar senhas fortes para todos os dispositivos conectados em sua rede para impedir que infecções por Emotet se espalhem dentro de uma rede local.